Panoramica sulla gestione dei fornitori

Microsoft collabora con aziende di terze parti per soddisfare le esigenze dei clienti. Queste società di terze parti sono denominate fornitori. La sicurezza e la privacy dei fornitori di Microsoft sono regolate dal programma SSPA (Supplier Security and Privacy Assurance), un set di requisiti a livello aziendale per tutti i fornitori che collaborano con Microsoft per fornire i nostri Servizi online. Anche se il programma SSPA offre governance e gestione complete della nostra base di fornitori, le singole business unit possono mantenere requisiti aggiuntivi per i fornitori.

In che modo il programma SSPA (Supplier Security and Privacy Assurance) di Microsoft protegge i dati dei clienti?

SSPA è una partnership tra Microsoft Procurement, Corporate External and Legal Affairs e Corporate Security per garantire che i fornitori rispettino i principi di privacy e sicurezza di Microsoft. L'ambito di SSPA copre tutti i fornitori che elaborano i dati personali o i dati riservati Microsoft. La registrazione del programma SSPA include la conformità ai requisiti di protezione dei dati (DPR) di Microsoft. La DPR è costituita da controlli di sicurezza e privacy che i fornitori devono implementare prima di iniziare a lavorare con Microsoft. Tutti i fornitori iscritti attestano la conformità alla DPR ogni anno.

L'ambito dei requisiti di DPR è basato su sei distinte categorie di elaborazione dati per cui un fornitore può essere approvato come parte della registrazione in SSPA. Queste categorie vengono usate per identificare il rischio associato ai servizi forniti da un fornitore a Microsoft. Il profilo di elaborazione dati del fornitore determina quali controlli DPR vengono considerati nell'ambito per fornire una protezione dei dati appropriata. I fornitori che elaborano dati considerati a rischio più elevato devono rispettare tutti i requisiti di DPR e potrebbero anche dover fornire una verifica indipendente della conformità. Gli strumenti di acquisto Microsoft convalidano lo stato SSPA di tutti i fornitori, inclusa la conformità alle parti applicabili della DPR, prima di consentire l'approvvigionamento di tale fornitore.

Quali tipi di subprocessori forniscono servizi per Microsoft?

Un "subprocessore" è una terza parte eseguita da Microsoft i cui compiti includono l'elaborazione dei dati personali Microsoft per cui Microsoft è responsabile del trattamento. I subprocessori microsoft rientrano in tre categorie. Ognuno deve dimostrare la conformità con SSPA prima di poter elaborare i dati dei clienti per conto di Microsoft.

  • Subprocessori tecnologici che alimentano le tecnologie che sono perfettamente integrate con Microsoft Servizi online e in parte alimentano le funzioni cloud Microsoft. Se un cliente distribuisce uno di questi servizi, i subprocessori identificati per tale servizio possono elaborare, archiviare o accedere in altro modo ai dati dei clienti o ai dati personali, contribuendo al tempo stesso a fornire tale servizio.
  • Subprocessori ausiliari che forniscono servizi per supportare, gestire e gestire Servizi online. In questi casi, i subprocessori identificati possono elaborare, archiviare o accedere in altro modo ai dati dei clienti e ai dati personali (costituiti da identificatori personali pseudonimi) fornendo al tempo stesso i propri servizi ausiliari.
  • Le organizzazioni del personale a contratto forniscono al personale contrattuale che lavora fianco a fianco con i dipendenti Microsoft a tempo pieno per operare, distribuire e gestire i Servizi Online Microsoft. In tutti questi casi, i dati dei clienti o i dati personali si trovano solo nei sistemi Microsoft ed è soggetto a criteri e supervisione Microsoft.

Inoltre, le entità dell'infrastruttura del data center Microsoft forniscono l'infrastruttura del data center in cui vengono eseguiti i Servizi online Microsoft. I dati all'interno dei data center vengono crittografati e nessun personale all'interno dei data center può accederle.

La tecnologia e le terze parti ausiliarie sono necessarie per implementare i controlli di accesso in conformità ai requisiti di protezione dei dati (DPR) di Microsoft. Questi requisiti soddisfano o superano gli impegni contrattuali assunti da Microsoft nei confronti dei clienti nelle Condizioni per il prodotto. I fornitori che svolgono il lavoro del personale contrattuale sono soggetti agli stessi controlli di accesso per i dipendenti Microsoft a tempo pieno.

In che modo Microsoft esegue l'onboarding dei fornitori?

I fornitori di terze parti devono firmare un Contratto Master Microsoft come parte del processo di onboarding. Questo contratto regola la relazione tra Microsoft e i suoi fornitori e garantisce una gestione coerente delle relazioni con i fornitori. Nell'ambito dell'onboarding, i fornitori si iscrivano all'SSPA e devono completare tutti i requisiti applicabili prima che possano essere approvati per qualsiasi categoria di elaborazione dati. Le business unit Microsoft sono in grado di creare interazioni con i fornitori solo quando l'attività di elaborazione dei dati per l'engagement corrisponde alle categorie di elaborazione dati per cui il fornitore è stato approvato.

In che modo Microsoft notifica ai clienti le modifiche apportate ai fornitori che elaborano i dati?

In base al componente aggiuntivo per la protezione dei dati (DPA, Data Protection Addendum) di Prodotti e servizi Microsoft, Microsoft si impegna ulteriormente per quanto riguarda i periodi di preavviso per l'aggiunta di qualsiasi subprocessore. I tempi di preavviso dipendono dal tipo di dati che il subprocessore esetterà per conto di Microsoft. Come indicato nel DPA, Microsoft si impegna a fornire un avviso ai clienti con almeno sei mesi di anticipo su qualsiasi nuovo subprocessore che esegua i dati dei clienti. Per qualsiasi altro dato personale, Microsoft fornirà almeno 30 giorni di preavviso. L'avviso viene fornito dall'aggiornamento dell'elenco dei subprocessori di Microsoft Online Services.

I Servizi online Microsoft vengono controllati regolarmente per verificare la conformità alle normative e alle certificazioni esterne. Per la convalida dei controlli relativi alla gestione dei fornitori, vedere la tabella seguente.

Azure e Dynamics 365

Controlli esterni Sezione Data report più recente
ISO 27001

Dichiarazione di applicabilità
Certificato
A.15.1: Sicurezza delle informazioni nelle relazioni con i fornitori 8 aprile 2024
ISO 27017

Dichiarazione di applicabilità
Certificato
A.15.1: Sicurezza delle informazioni nelle relazioni con i fornitori 8 aprile 2024
ISO 27018

Dichiarazione di applicabilità
Certificato
A.8.1: Divulgazione dell'elaborazione di informazioni personali in conto lavoro 8 aprile 2024
SOC 2
SOC 3
SOC2-25: Gestione dei rischi dei fornitori
C5-2: Revisione del profilo di rischio dei fornitori
20 maggio 2024

Microsoft 365

Controlli esterni Sezione Data report più recente
FedRAMP CA-3: Interconnessioni di sistema
IA-4: Gestione degli identificatori
PS-6: Contratti di accesso
PS-7: Sicurezza del personale di terze parti
SA-4: Processo di acquisizione
SA-9: Servizi del sistema informativo esterno
SA-12: Protezione della supply chain
21 agosto 2024
ISO 27001/27017

Dichiarazione di applicabilità
Certificazione (27001)
Certificazione (27017)
A.15.1: Sicurezza delle informazioni nelle relazioni con i fornitori Marzo 2024
ISO 27018

Dichiarazione di applicabilità
Certificato
A.8.1: Divulgazione dell'elaborazione di informazioni personali in conto lavoro Marzo 2024
SOC 2 CA-53: Monitoraggio di terze parti 23 gennaio 2024

Risorse